ในระบบนิเวศของอุปกรณ์เคลื่อนที่ การละเมิดอาจคุกคามรายได้ การเติบโต และความไว้วางใจของผู้ใช้ Google Play จึงมีบริการตรวจจับภัยคุกคามที่มีความยืดหยุ่นสูงอย่าง Play Integrity API เพื่อช่วยให้นักพัฒนาแอปเติบโตได้ Play Integrity API จะช่วยคุณยืนยันว่าการโต้ตอบและคำขอของเซิร์ฟเวอร์นั้นเป็นของจริง โดยมาจากแอปที่ไม่มีการแก้ไขในอุปกรณ์ Android ที่ผ่านการรับรอง ซึ่งติดตั้งโดย Google Play

ผลลัพธ์ที่ได้นั้นมีความสำคัญอย่างยิ่ง โดยแอปที่ใช้ฟีเจอร์ Play Integrity จะพบการใช้งานที่ไม่ได้รับอนุญาตน้อยลงโดยเฉลี่ย 80% เมื่อเทียบกับแอปอื่นๆ ปัจจุบัน ผู้นำในหลากหลายหมวดหมู่ ซึ่งรวมถึง Uber, TikTok, Stripe, Kabam, Wooga, Radar.com, Zimperium, Paytm และ Remini ใช้ API นี้เพื่อช่วยปกป้องธุรกิจของตน

เรายังคงปรับปรุง Play Integrity API อย่างต่อเนื่องเพื่อให้ผสานรวมได้ง่ายขึ้น มีความยืดหยุ่นมากขึ้นในการรับมือกับการโจมตีที่ซับซ้อน และสามารถกู้คืนผู้ใช้ที่ไม่เป็นไปตามมาตรฐานความสมบูรณ์หรือพบข้อผิดพลาดได้ดียิ่งขึ้นด้วยข้อความแจ้งการแก้ไขปัญหาในแอปใหม่ของ Play

ตรวจหาภัยคุกคามต่อธุรกิจของคุณ

Play Integrity API มีผลการตัดสินที่ออกแบบมาเพื่อตรวจหาภัยคุกคามที่เฉพาะเจาะจงซึ่งส่งผลต่อผลกำไรของคุณระหว่างการโต้ตอบที่สำคัญ

• การเข้าถึงโดยไม่ได้รับอนุญาต: ผลการตัดสิน accountDetails ช่วยให้คุณพิจารณาว่าผู้ใช้ติดตั้งหรือชำระเงินสำหรับแอปหรือเกมของคุณใน Google Play หรือไม่
• การดัดแปลงโค้ด: ผลการตัดสิน appIntegrity ช่วยให้คุณพิจารณาว่ากำลังโต้ตอบกับไบนารีที่ไม่มีการแก้ไขที่ Google Play รู้จักหรือไม่
• อุปกรณ์ที่มีความเสี่ยงและสภาพแวดล้อมที่จำลอง: ผลการตัดสิน deviceIntegrity ช่วยให้คุณทราบว่าแอปกำลังทำงานในอุปกรณ์ Android ที่ผ่านการรับรองของ Play Protect ของแท้หรืออินสแตนซ์จริงของ Google Play Games สำหรับ PC หรือไม่
• อุปกรณ์ที่ไม่มีการแพตช์: สำหรับอุปกรณ์ที่ใช้ Android 13 ขึ้นไป การตอบกลับ MEETS_STRONG_INTEGRITY ในผลการตัดสิน deviceIntegrity จะช่วยให้คุณระบุได้ว่าอุปกรณ์ได้ใช้การอัปเดตความปลอดภัยล่าสุดหรือไม่ นอกจากนี้ คุณยังเลือกใช้ deviceAttributes เพื่อรวมเวอร์ชัน Android SDK ที่รับรองแล้วในการตอบกลับได้ด้วย
• การเข้าถึงที่เสี่ยงโดยแอปอื่นๆ: appAccessRiskVerdict ช่วยให้คุณพิจารณาได้ว่ามีแอปที่กำลังทำงานอยู่ซึ่งอาจใช้เพื่อจับภาพหน้าจอ แสดงภาพซ้อนทับ หรือควบคุมอุปกรณ์หรือไม่ (เช่น โดยการใช้สิทธิ์การช่วยเหลือพิเศษในทางที่ผิด) ผลการตัดสินนี้จะยกเว้นแอปที่ให้บริการเพื่อวัตถุประสงค์ด้านการช่วยเหลือพิเศษอย่างแท้จริงโดยอัตโนมัติ
• มัลแวร์ที่รู้จัก: playProtectVerdict ช่วยให้คุณตรวจสอบได้ว่า Google Play Protect เปิดอยู่หรือไม่ และพบแอปที่มีความเสี่ยงหรือเป็นอันตรายติดตั้งอยู่ในอุปกรณ์หรือไม่
• กิจกรรมมากเกินไป: ระดับ recentDeviceActivity ช่วยให้คุณพิจารณาได้ว่าอุปกรณ์ได้ส่งคำขอโทเค็นความสมบูรณ์ในปริมาณที่สูงอย่างผิดปกติเมื่อเร็วๆ นี้หรือไม่ ซึ่งอาจบ่งบอกถึงการเข้าชมแบบอัตโนมัติและอาจเป็นสัญญาณของการโจมตี
• การละเมิดซ้ำและการใช้อุปกรณ์ซ้ำ: deviceRecall (เบต้า) ช่วยให้คุณทราบว่ากำลังโต้ตอบกับอุปกรณ์ที่คุณเคยแจ้งแล้วหรือไม่ แม้ว่าจะมีการติดตั้งแอปของคุณใหม่หรือรีเซ็ตอุปกรณ์ก็ตาม การเรียกคืนของอุปกรณ์ช่วยให้คุณปรับแต่งการดำเนินการซ้ำที่ต้องการติดตามได้

คุณใช้ API ได้ในอุปกรณ์ Android ทุกรูปแบบ ซึ่งรวมถึงโทรศัพท์, แท็บเล็ต, อุปกรณ์พับได้, Android Auto, Android TV, Android XR, ChromeOS, Wear OS และใน Google Play Games สำหรับ PC

ใช้ประโยชน์จาก Play Integrity API ให้ได้มากที่สุด

แอปและเกมประสบความสำเร็จในการใช้ Play Integrity API โดยปฏิบัติตามข้อควรพิจารณาด้านความปลอดภัยและใช้แนวทางแบบเป็นระยะๆ สำหรับกลยุทธ์การต่อต้านการละเมิด

ขั้นตอนที่ 1: ตัดสินใจว่าต้องการปกป้องอะไร: ตัดสินใจว่าการดำเนินการและคำขอของเซิร์ฟเวอร์ใดในแอปและเกมของคุณที่สำคัญต่อการยืนยันและปกป้อง เช่น คุณอาจทำการตรวจสอบความสมบูรณ์เมื่อผู้ใช้เปิดแอป ลงชื่อเข้าใช้ เข้าร่วมเกมแบบผู้เล่นหลายคน สร้างเนื้อหา AI หรือโอนเงิน

ขั้นตอนที่ 2: รวบรวมการตอบกลับผลการตัดสินความสมบูรณ์: ทำการตรวจสอบความสมบูรณ์ในเวลาที่สำคัญเพื่อเริ่มรวบรวมข้อมูลผลการตัดสิน โดยไม่บังคับใช้ในตอนแรก วิธีนี้จะช่วยให้คุณวิเคราะห์การตอบกลับสำหรับฐานผู้ใช้งานและดูว่าการตอบกลับมีความสัมพันธ์กับสัญญาณการละเมิดที่มีอยู่และข้อมูลการละเมิดในอดีตอย่างไร

ขั้นตอนที่ 3: กำหนดกลยุทธ์การบังคับใช้: กำหนดกลยุทธ์การบังคับใช้ตามการวิเคราะห์การตอบกลับและสิ่งที่คุณพยายามปกป้อง เช่น คุณอาจเปลี่ยนการเข้าชมที่มีความเสี่ยงในเวลาที่สำคัญเพื่อปกป้องฟังก์ชันการทำงานที่ละเอียดอ่อน API มีการตอบกลับที่หลากหลายเพื่อให้คุณใช้กลยุทธ์การบังคับใช้แบบหลายระดับได้ตามระดับความน่าเชื่อถือที่คุณมอบให้กับการตอบกลับแต่ละชุด

ขั้นตอนที่ 4: เปิดตัวการบังคับใช้และให้การสนับสนุนผู้ใช้ทีละน้อย: เปิดตัวการบังคับใช้ทีละน้อย เตรียมกลยุทธ์การลองใหม่เมื่อผลการตัดสินมีปัญหาหรือไม่พร้อมใช้งาน และเตรียมพร้อมที่จะให้การสนับสนุนผู้ใช้ที่ดีที่พบปัญหา ข้อความแจ้งการแก้ไขปัญหาในแอปใหม่ของ Play ที่อธิบายไว้ด้านล่างนี้จะช่วยให้การกู้คืนผู้ใช้ที่พบปัญหาให้กลับมาอยู่ในสถานะที่ดีทำได้ง่ายกว่าที่เคย

ใหม่: ให้ Play กู้คืนผู้ใช้ที่พบปัญหาโดยอัตโนมัติ

การตัดสินใจว่าจะตอบสนองต่อสัญญาณความสมบูรณ์ต่างๆ อย่างไรอาจเป็นเรื่องซับซ้อน คุณต้องจัดการการตอบกลับความสมบูรณ์ต่างๆ และรหัสข้อผิดพลาดของ API (เช่น ปัญหาเครือข่ายหรือบริการ Google Play ที่ล้าสมัย) เราจึงทำให้กระบวนการนี้ง่ายขึ้นด้วยข้อความแจ้งการแก้ไขปัญหาในแอปใหม่ของ Play คุณสามารถแสดงข้อความแจ้งของ Google Play ต่อผู้ใช้เพื่อแก้ไขปัญหาที่หลากหลายโดยอัตโนมัติภายในแอป ซึ่งจะช่วยลดความซับซ้อนในการผสานรวม ทำให้มั่นใจได้ว่าอินเทอร์เฟซผู้ใช้จะสอดคล้องกัน และช่วยให้ผู้ใช้จำนวนมากขึ้นกลับมาอยู่ในสถานะที่ดี

GET_INTEGRITY จะตรวจหาปัญหา (ในตัวอย่างนี้คือข้อผิดพลาดเกี่ยวกับเครือข่าย) และแก้ไขปัญหาโดยอัตโนมัติ

คุณสามารถทริกเกอร์กล่องโต้ตอบ GET_INTEGRITY ซึ่งมีให้บริการในไลบรารี Play Integrity API เวอร์ชัน 1.5.0 ขึ้นไป หลังจากเกิดปัญหาต่างๆ เพื่อแนะนำผู้ใช้ให้ทำการแก้ไขที่จำเป็นโดยอัตโนมัติ ซึ่งรวมถึง

• การเข้าถึงโดยไม่ได้รับอนุญาต: GET_INTEGRITY จะแนะนำผู้ใช้ให้กลับไปใช้การตอบกลับที่ได้รับใบอนุญาตจาก Play ใน accountDetails
• การดัดแปลงโค้ด: GET_INTEGRITY จะแนะนำผู้ใช้ให้กลับไปใช้การตอบกลับที่ Google Play รู้จักใน appIntegrity
• ปัญหาความสมบูรณ์ของอุปกรณ์: GET_INTEGRITY จะแนะนำผู้ใช้เกี่ยวกับวิธีกลับไปใช้สถานะ MEETS_DEVICE_INTEGRITY ใน deviceIntegrity
• รหัสข้อผิดพลาดที่แก้ไขได้: GET_INTEGRITY จะแก้ไขข้อผิดพลาดของ API ที่แก้ไขได้ เช่น การแจ้งให้ผู้ใช้แก้ไขการเชื่อมต่อเครือข่ายหรืออัปเดตบริการ Google Play

นอกจากนี้ เรายังมีกล่องโต้ตอบเฉพาะทาง ซึ่งรวมถึง GET_STRONG_INTEGRITY (ซึ่งทำงานเหมือนกับ GET_INTEGRITY พร้อมทั้งนำผู้ใช้กลับไปใช้สถานะ MEETS_STRONG_INTEGRITY โดยไม่มีปัญหามัลแวร์ที่รู้จักใน playProtectVerdict), GET_LICENSED (ซึ่งนำผู้ใช้กลับไปใช้สถานะที่ได้รับใบอนุญาตจาก Play และ Google Play รู้จัก) รวมถึง CLOSE_UNKNOWN_ACCESS_RISK และ CLOSE_ALL_ACCESS_RISK (ซึ่งแจ้งให้ผู้ใช้ปิดแอปที่มีความเสี่ยง)

เลือกโซลูชันความสมบูรณ์ที่ทันสมัย

นอกจาก Play Integrity API แล้ว Google ยังมีฟีเจอร์อื่นๆ อีกมากมายที่ควรพิจารณาเป็นส่วนหนึ่งของกลยุทธ์การต่อต้านการละเมิดโดยรวม ทั้ง Play Integrity API และการปกป้องอัตโนมัติของ Play ต่างก็มอบประสบการณ์ของผู้ใช้และสิทธิประโยชน์สำหรับนักพัฒนาแอปในการปกป้องการเผยแพร่แอป เราขอแนะนำให้แอปที่มีอยู่ย้ายข้อมูลไปยังโซลูชันความสมบูรณ์ที่ทันสมัยเหล่านี้แทนการใช้ไลบรารีการอนุญาตให้ใช้สิทธิของ Play แบบเดิม

การปกป้องอัตโนมัติ:  ป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตด้วยการปกป้องอัตโนมัติของ Google Play และตรวจสอบว่าผู้ใช้จะได้รับการอัปเดตแอปอย่างเป็นทางการต่อไป เปิดใช้การปกป้องอัตโนมัติ แล้ว Google Play จะเพิ่มการตรวจสอบโปรแกรมติดตั้งลงในโค้ดของแอปโดยอัตโนมัติ โดยนักพัฒนาแอปไม่ต้องดำเนินการผสานรวมใดๆ หากมีการจัดจำหน่ายซ้ำหรือแชร์แอปที่ได้รับการปกป้องของคุณผ่านช่องทางอื่น ระบบจะแจ้งให้ผู้ใช้ดาวน์โหลดแอปจาก Google Play นักพัฒนาแอป Play ที่มีสิทธิ์ยังสามารถเข้าถึงการป้องกันการปลอมแปลงขั้นสูงของ Play ซึ่งใช้การทำให้สับสนและการตรวจสอบรันไทม์เพื่อให้ผู้โจมตีปรับเปลี่ยนและจัดจำหน่ายซ้ำแอปที่ได้รับการปกป้องได้ยากและมีค่าใช้จ่ายสูงขึ้น

การรับรองคีย์แพลตฟอร์ม Android:  Play Integrity API เป็นวิธีที่แนะนำในการใช้ประโยชน์จากการรับรองคีย์แพลตฟอร์ม Android ที่อิงฮาร์ดแวร์ Play Integrity API จะดูแลการใช้งานเบื้องหลังในระบบนิเวศของอุปกรณ์ต่างๆ Play จะลดปัญหาและการหยุดทำงานที่เกี่ยวข้องกับคีย์โดยอัตโนมัติ และคุณสามารถใช้ API เพื่อตรวจหาภัยคุกคามอื่นๆ ได้ นักพัฒนาแอปที่ใช้การรับรองคีย์โดยตรงแทนการใช้ Play Integrity API ควรเตรียมพร้อมสำหรับการหมุนเวียนใบรับรองรูทของแพลตฟอร์ม Android ที่กำลังจะเกิดขึ้นในเดือนกุมภาพันธ์ 2026 เพื่อหลีกเลี่ยงการหยุดชะงัก (นักพัฒนาแอปที่ใช้ Play Integrity API ไม่จำเป็นต้องดำเนินการใดๆ)

Firebase App Check: นักพัฒนาแอปที่ใช้ Firebase สามารถใช้ Firebase App Check เพื่อรับผลการตัดสินความสมบูรณ์ของแอปและอุปกรณ์ที่ขับเคลื่อนโดย Play Integrity API ในอุปกรณ์ Android ที่ผ่านการรับรอง พร้อมกับการตอบกลับจากผู้ให้บริการการรับรองแพลตฟอร์มอื่นๆ หากต้องการตรวจหาภัยคุกคามอื่นๆ ทั้งหมดและใช้ฟีเจอร์อื่นๆ ของ Play ให้ผสานรวม Play Integrity API โดยตรง

reCAPTCHA Enterprise: ลูกค้าองค์กรที่กำลังมองหาโซลูชันการจัดการการฉ้อโกงและบ็อตแบบครบวงจรสามารถซื้อreCAPTCHA Enterpriseสำหรับอุปกรณ์เคลื่อนที่ได้ reCAPTCHA Enterprise ใช้สัญญาณต่อต้านการละเมิดบางอย่างของ Play Integrity API และรวมสัญญาณเหล่านั้นเข้ากับสัญญาณ reCAPTCHA โดยไม่ต้องกำหนดค่าเพิ่มเติม

ปกป้องธุรกิจของคุณวันนี้

Play Integrity API เป็นเครื่องมือที่จำเป็นสำหรับการปกป้องการเติบโตของคุณ เนื่องจากมีรากฐานที่แข็งแกร่งด้านความปลอดภัยที่อิงฮาร์ดแวร์และกล่องโต้ตอบการแก้ไขปัญหาอัตโนมัติใหม่ที่ช่วยลดความซับซ้อนในการผสานรวม

เริ่มต้นใช้งานเอกสารประกอบของ Play Integrity API